Die Entwickler von OpenSSH haben die Version 4.4 veröffentlicht, in der drei Schwachstellen geschlossen sind. Dazu soll auch der kürzlich gemeldete Fehler in der Implementierung von SSHv1 gehören. Zwei der Schwachstellen lassen sich für Denial-of-Service-Angriffe ausnutzen, eine erleichtert es, gültige Nutzernamen zu erraten.
Unter bestimmten Umständen soll eine der Lücken auch das Einschleusen von Code erlauben. Laut Fehlerbericht der Entwickler gilt dies nur für portable OpenSSH, also der von OpenBSD auf alle anderen Unix-Derivate portierten Version. Zudem muss die Authentifizierung mittels Generic Security Services Application Program Interface (GSSAPI) aktiviert sein, einer Schnittstelle für Sicherheitsdienste. Allerdings halten die Entwickler die Wahrscheinlichkeit eines erfolgreichen Angriffs über diese Lücke für sehr gering. Darüber hinaus bringt OpenSSH 4.4 auch noch neue Funktionen mit und behebt einige Fehler, die nicht sicherheitsrelevant sind.
Die Linux-Distributoren dürften in Kürze ebenfalls aktualisierte Pakete veröffentlichen.
quelle: heise
und noch eins. man, man, wird ein tatenreiches wochende.